autenticación de usuario unificada ldap

LDAP (Protocolo ligero de acceso a directorios) es un protocolo ligero de acceso a directorios que puede proporcionar un mecanismo de autenticación de usuario unificado para que diferentes sistemas de aplicaciones dentro de la empresa puedan compartir el mismo conjunto de cuentas de usuario y contraseñas, logrando así. Gestión unificada de autenticación de usuarios. En este artículo, presentaremos cómo utilizar LDAP para implementar la autenticación de usuario unificada.

1. Conceptos básicos de LDAP

1.1 Servicio de directorio

LDAP es un servicio de directorio que puede almacenar y administrar varios tipos de datos, como cuentas de usuario, estructura organizativa, recursos de red, etc. La estructura de datos de LDAP es una estructura de árbol, similar a la estructura de directorios en un sistema de archivos, y cada nodo tiene un identificador DN (nombre distinguido) único.

1.2 Cliente LDAP

El cliente LDAP se refiere a una aplicación que utiliza el protocolo LDAP para comunicarse con el servidor LDAP. Puede consultar, agregar, modificar y consultar datos en el servidor LDAP. Eliminar y otras operaciones.

1.3Servidor LDAP

El servidor LDAP se refiere a un sistema de software que proporciona servicios LDAP. Puede almacenar y administrar datos en el directorio LDAP y proporciona una interfaz de protocolo LDAP para que los clientes LDAP. realizar operaciones de acceso.

2. Pasos para implementar la autenticación de usuario unificada LDAP

2.1 Instalar y configurar el servidor LDAP

Primero, debe instalar y configurar el servidor LDAP. Los servidores LDAP usados ​​incluyen OpenLDAP, Active Directory, etc. Aquí tomamos OpenLDAP como ejemplo.

2.1.1 Instalar OpenLDAP

En sistemas Linux, puede utilizar el siguiente comando para instalar OpenLDAP:

```

yuminstallopenldapopenldap- serversopenldap-clients

```

2.1.2 Configuración de OpenLDAP

La configuración de OpenLDAP requiere editar el archivo slapd.conf, que se encuentra en / Directorio etc/openldap. El archivo se puede abrir usando el siguiente comando:

```

vi/etc/openldap/slapd.conf

```

En este archivo, se debe configurar el siguiente contenido:

(1) Configuración básica

```

include/etc/openldap/ esquema/core.schema

pidfile/var/run/openldap/slapd.pid

argsfile/var/run/openldap/slapd.args

`` `

(2) Configuración de la base de datos

```

databasebdb

sufijo"dc=example,dc=com"

rootdn"cn=admin,dc=example,dc=com"

rootpw{SSHA}xxxxxxxxxxxxxxxxxxxxxx

directorio/var/lib/ldap

`` `

Entre ellos, base de datos significa usar la base de datos BDB, sufijo significa el DN del nodo raíz LDAP, rootdn significa el DN de la cuenta de administrador, rootpw significa la contraseña de la cuenta de administrador, y directorio significa el directorio donde se almacenan los datos LDAP.

2.2 Agregar usuarios LDAP

Para agregar usuarios LDAP, necesita usar un cliente LDAP. Los clientes LDAP más utilizados incluyen ldapadd, ldapmodify, etc. Aquí tomamos ldapadd como ejemplo.

2.2.1 Crear archivo LDIF

LDIF (LDAPDataInterchangeFormat) es un formato de texto utilizado para describir datos en el directorio LDAP. Se puede crear un archivo LDIF usando el siguiente comando:

```

viuser.ldif

```

En este archivo, debe agregar el siguiente contenido:

```

dn:cn=user1,ou=people,dc=example,dc=com

objectClass:top

objectClass:person

objectClass:organizationalPerson

objectClass:inetOrgPerson

cn:user1

sn:usuario1

nombre dado:usuario1

correo:usuario1@ejemplo.com

contraseña de usuario:{SSHA}xxxxxxxxxxxxxxxxxxxxxx

`` `

Entre ellos, dn representa el DN del usuario, objectClass representa la categoría de objeto del usuario, cn representa el nombre de usuario del usuario, sn representa el apellido del usuario, GivenName representa el nombre del usuario y mail representa el buzón del usuario. .userPassword representa la contraseña del usuario.

2.2.2 Agregar usuario LDAP

Utilice el siguiente comando para agregar el usuario al servidor LDAP:

```

ldapadd -x-D"cn=admin,dc=example,dc=com"-wpassword-fuser.ldif

``

Entre ellos, -x significa usar autenticación simple, -D Indica el DN de la cuenta de administrador, -w indica la contraseña de la cuenta de administrador y -f indica el archivo LDIF que se importará.

2.3 Sistema de aplicación integrado

El sistema de aplicación integrado necesita configurar la autenticación LDAP en el sistema de aplicación. Los sistemas de aplicación comúnmente utilizados incluyen aplicaciones web, sistemas de correo, sistemas de intercambio de archivos, etc. Aquí tomamos una aplicación web como ejemplo.

2.3.1 Configuración de aplicaciones web

En aplicaciones web, puede utilizar el complemento de autenticación LDAP para implementar la autenticación LDAP. Los complementos de autenticación LDAP de uso común incluyen mod_auth_ldap, LDAPAuth, etc. Aquí tomamos mod_auth_ldap como ejemplo.

Primero necesitas instalar y configurar el módulo mod_auth_ldap. Puedes usar el siguiente comando para instalarlo:

```

yuminstall=admin,dc. =ejemplo,dc=com"

AuthLDAPBindPasswordpassword

Requirevalid-user

```

Entre ellos, LoadModule significa cargar mod_auth_ldap módulo y Ubicación significa que se requiere autenticación LDAP, ruta URL, AuthName representa la información de solicitud de autenticación, AuthType representa el tipo de autenticación, AuthBasicProvider representa el proveedor de autenticación, AuthLDAPURL representa la URL del servidor LDAP, AuthLDAPBindDN representa el DN de la cuenta de administrador. , AuthLDAPBindPassword representa la contraseña de la cuenta de administrador, Require representa el usuario que necesita ser autenticado

2.3.2 Probar la autenticación LDAP

Utilice un navegador para acceder a la ruta URL de la cuenta. aplicación web e ingrese el nombre de usuario y la contraseña del usuario LDAP. Si puede iniciar sesión correctamente, significa que la autenticación LDAP ha tenido efecto.